Обнаружен VBS-загрузчик со свойствами RAT

 
 

Исследователи из Flashpoint проанализировали новую модификацию хорошо известного загрузчика SafeLoader VBS. Как оказалось, этот даунлоудер способен не только загрузить вредоносный код, но и обеспечить удаленный доступ к командному серверу.
О существовании столь необычного скрипта, именуемого ARS VBS Loader, эксперты, по их словам, впервые узнали из рекламных объявлений, появившихся на русскоязычных теневых форумах в декабре прошлого года. Продавец позиционировал этот VBS-сценарий как FUD — fully undetectable, то есть его якобы невозможно обнаружить.

Показать связанные сообщения

Авторы Smoke Loader крепят защиту
19 апреля 2018 , 16:30
Троян Stresspaint скрывается в приложении для рисования
19 апреля 2018 , 15:54
В Google Play обнаружены шпионские программы
18 апреля 2018 , 18:53
Загрузчики, исполненные как VBScript, давно и довольно широко используются для доставки вредоносных программ, однако RAT-функциональность у подобных скриптов исследователи ранее не встречали. Новоявленный даунлоудер позволяет получить доступ к зараженной системе через PHP-приложение, захватить контроль над компьютером и приобщить его к ботнету.
Аналитики также отметили уникальность механизма ARS VBS, обеспечивающего постоянное присутствие в системе. Этот скрипт рапортует о своих успехах, отсылая статистические данные на C&C-сервер, и может загрузить с него дополнительные вредоносные коды. Таким образом, автор атаки имеет возможность оперативно вносить коррективы и перепрофилировать зловреда уже после заражения.
Комментируя находку для Dark Reading, старший вирусный аналитик Flashpoint Пол Бербедж (Paul Burbage) отметил, что ARS VBS отличает еще одна особенность: этот скрипт умеет получать дополнительные команды. Когда репортер новостного издания поинтересовался, опасен ли ботнет, для которого ARS VBS в настоящее время заражает машины, его собеседник ответил так: «Не думаю, что его использование будет продуктивным — он применяет PHP POST flood, и большинство сайтов с успехом справятся с такими атаками».
Распространяется новый загрузчик, по словам Бербеджа, через массовые спам-рассылки, причем не без успеха: далеко не все пользователи усвоили золотое правило не открывать вложения в письма от незнакомцев. К тому же почтовые антивирусы, скорее всего, не отреагируют на VBS-файл — такими скриптами часто пользуются сетевые администраторы, и распознать недобрые намерения в данном случае очень трудно.
«VBScript интегрирован или по умолчанию поддерживается во всех системах Windows, — поясняет Бербедж. — Его, наверное, можно отключить в пределах организации, но тогда все лишатся возможности выполнять поставленные задачи».

Добавить комментарий